IT-Sicherheit im Mittelstand „Die eigenen Mitarbeiter sind die größte Schwachstelle“

Wer sich vor Angriffen im Netz schützen will, sollte sich mit dem Thema gut auskennen. Gerade der Mittelstand unterschätzt jedoch das Risiko, von Hackern attackiert zu werden. Dabei geraten sie besonders oft ins Visier.
Nach einem Angriff auf die IT-Sicherheit fürchten viele Firmenchefs die öffentliche Bloßstellung. Das Unternehmen muss sich rechtfertigen, erleidet einen Imageschaden und verliert vielleicht sogar Kunden. Quelle: Getty Images
Hilfe, wir haben einen Cyber-Angriff!

Nach einem Angriff auf die IT-Sicherheit fürchten viele Firmenchefs die öffentliche Bloßstellung. Das Unternehmen muss sich rechtfertigen, erleidet einen Imageschaden und verliert vielleicht sogar Kunden.

(Foto: Getty Images)

Wo sind die größten Sicherheitsschwachstellen im deutschen Mittelstand? Wie lässt sich die IT absichern, wenn wenig finanzielle Ressourcen zur Verfügung stehen? Und mit welchen Folgekosten müssen Unternehmer rechnen, die Opfer eines Cyber-Angriffs geworden sind? Darüber spricht Wirtschaftsprüfer und Steuerberater Andreas Blum, der Firmen in Fragen der IT-Sicherheit berät, im Interview. Blum ist Partner der DHPG, eines der führenden, mittelständischen Beratungsunternehmen in Deutschland, das sich auf die Kernbereiche Wirtschaftsprüfung, Steuerberatung, Rechtsberatung sowie Insolvenzverwaltung und Sanierungsberatung spezialisiert hat. Zudem ist er Professor an der Hochschule Fresenius in Köln.

Herr Blum, ist der Mittelstand in Sachen IT-Sicherheit gut aufgestellt?
In den letzten fünf Jahren nehmen kleine und mittelgroße Unternehmen das Thema IT-Sicherheit zwar stärker wahr. Viele Mittelständler unterschätzen jedoch immer noch das Risiko, selbst Opfer einer Cyberattacke zu werden. Entsprechend ergreifen sie nicht genügend Sicherheitsmaßnahmen, um sich ausreichend zu schützen.

Warum geraten besonders Mittelständler ins Visier von Hackern und nicht die Big Player?
Hacker wissen, dass viele Mittelständler vor allem aus finanziellen und zeitlichen Gründen ihre IT nicht so gut absichern können wie große Konzerne. Entsprechend ist es dort leichter, an Daten zu kommen oder sich sogar Zugang zu externen Vertragspartnern und damit größeren Unternehmen zu verschaffen. In manchen Fällen fällt eine Manipulation gar nicht oder erst sehr spät auf, da IT-Kontrollen fehlen oder in unregelmäßigen Abständen durchgeführt werden.

Ist denn die Digitalisierung der Industrie schuld daran, dass deutsche Unternehmen so angreifbar geworden sind?
Natürlich entstehen durch die hohe Geschwindigkeit der Digitalisierung auch immer neue Möglichkeiten, ein Unternehmen anzugreifen. Dennoch können Firmen sich nicht dem digitalen Wandel versperren – dadurch würden sie an Wettbewerbsfähigkeit einbüßen. Schließlich bringt die Digitalisierung auch viele Vorteile wie schnellere Kommunikationswege oder die Steigerung der Produktivität durch eine bessere Auswertung von Daten.

Das müssen Unternehmen nach einem Störfall melden
Systematische Analyse
1 von 14

Seit Ende Juli 2015 sind Unternehmen, die kritische Infrastrukturen betreiben, dazu verpflichtet, Störungen in ihrer IT-Infrastruktur an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dieses sammelt die anonymisierten Berichte und wertet sie azs. Auf diese Weise, so heißt es in einem Fachartikel im Magazin „Markt und Mittelstand“, lassen sich etwa bundesweite Hacker-Angriffe systematisch analysieren, um später noch besser gegen solche Attacken gewappnet zu sein.

Nicht meldepflichtig
2 von 14

Doch was stellt überhaupt eine meldepflichtige Störung der IT-Infrastruktur dar? Das neue Gesetz hat drei Stufen definiert: Nicht meldepflichtig sind beispielsweise per Virenscanner abgefangener Spam oder Schadsoftware oder auch kleinere Ausfälle, die nach dem aktuellen Stand der Technik bewältigt werden können.

Meldepflichtig
3 von 14

Anders sieht es aber aus, wenn die IT-Technik über Sicherheitslücken überlistet wurde und dadurch Störungen, Schadprogramme oder außergewöhnliche technische Defekte auftraten – dann muss das BSI informiert werden.

Alarmstufe rot
4 von 14

Ist durch erhebliche Störungen gar die Funktionsfähigkeit der Dienstleistungen des Unternehmens bedroht, herrscht dringende Meldepflicht. Wer nicht handelt, riskiert im schlimmsten Fall ein Bußgeld in Höhe von bis zu 100.000 Euro.

Jeder kann fällig sein
5 von 14

Viele Mittelständler fühlten sich zunächst nicht angesprochen bei der Frage, wer Betreiber einer kritischen Infrastruktur ist. Ein Irrtum, so „Markt und Mittelstand“. Denn wer sich in einer Lieferkette befindet, kann plötzlich Zielscheibe von Wirtschaftsspionage mit allen Folgen für die firmeneigene IT-Sicherheit und die seiner Kunden werden.

Energie- und Trinkwasserversorger
6 von 14

Tatsächlich, so das Fachmagazin für mittelständische Unternehmen, ist der Kreis der betroffenen Unternehmen weit größer als die vom Gesetz definierten 2000 Betreiber kritischer Infrastrukturen wie Energie- oder Trinkwasserversorger.

Pflichtansage trifft auch kleinere Unternehmen
7 von 14

So müssen auch kleine und mittelständische Betriebe, die mit einem oder mehreren der folgenden Branchen zusammenarbeiten, IT-Sicherheitsvorfälle an das BSI melden
Energie: Stromversorgung, Versorgung mit Erdgas, Versorgung mit Mineralöl
Informationstechnik und Telekommunikation: Sprach- und Datenkommunikation, Verarbeitung und Speicherung von Daten
Transport und Verkehr: Transport von Gütern und Personen im Nah- und Fernbereich, Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik
Ernährung: Versorgung mit Lebensmitteln, Ernährungswirtschaft, Lebensmittelhandel
Finanz- und Versicherungswesen: Zahlungsverkehr, Bargeldversorgung, Kreditvergabe, Geld- und Devisenhandel, Wertpapier- und Derivatehandel, Versicherungsleistungen, Banken, Börsen, Versicherungen, Finanzdienstleister
Gesundheit: Medizinische Versorgung, Labore, Arzneimittel und Medizinprodukte
Wasser: Trinkwasserversorgung (öffentliche Wasserversorgung), Abwasserversorgung (öffentliche Abwasserbeseitigung)

Wo sehen Sie die größten Schwachstellen im Mittelstand?
Auch wenn viele Mittelständler es nicht wahr haben wollen: Häufig sind die eigenen Mitarbeiter die größte Schwachstelle – ob unbewusst wie beim Herunterladen von Schadsoftware oder mit Intention, etwa wenn Angestellte Unternehmensdaten auf private Datenträger kopieren.

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.
Der eigene Arbeitsplatz steht auf dem Spiel
Seite 123Alles auf einer Seite anzeigen

Mehr zu: IT-Sicherheit im Mittelstand - „Die eigenen Mitarbeiter sind die größte Schwachstelle“

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%